Metadati e caselle di posta elettronica dei dipendenti: una questione non solo di privacy
2024-2-23 18:32:13 Author: www.cybersecurity360.it(查看原文) 阅读量:23 收藏

GUIDA ALLA NORMATIVA

La questione del trattamento dei metadati delle caselle di posta elettronica dei dipendenti ha diverse implicazioni che coinvolgono diversi attori e ambiti. Se la finalità prioritaria del recente documento di indirizzo del Garante privacy è ovviamente quella afferente al trattamento dei dati personali, rilevano anche aspetti giuslavoristici e penali. Facciamo chiarezza

Pubblicato il 23 Feb 2024

È attuale la disamina che, in particolare i professionisti privacy e di sicurezza IT, stanno effettuando del documento di indirizzo del Garante privacy sulle caselle di posta elettronica dei lavoratori e in particolare sul trattamento dei metadati (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email).

Tale documento prosegue lungo la linea avviata già nel 2007 dal Garante con le Linee guida per posta elettronica e internet che risulta di piena attualità, anche di fronte all’innovazione tecnologica intercorsa, e le cui previsioni – lette alla luce del GDPR e del Codice privacy – forniscono alle organizzazioni chiari principi da osservare anche con riguardo alla navigazione Internet al cui riguardo, per ridurre i rischi di usi impropri della “navigazione” web, viene indicato ai datori di lavoro di adottare opportune misure – di cui viene fornita esemplificazione – che possono prevenire l’esigenza di controlli successivi sui lavoratori.

E-mail dei dipendenti, dal Garante privacy nuove indicazioni sulla conservazione dei metadati: gli impatti

Metadati e caselle di posta elettronica dei dipendenti: l’intervento del Garante

Richiamando anche le previsioni della legge 300/1970 (cd. Statuto dei lavoratori – STL) che all’art. 4 regola i controlli a distanza, il Garante nel documento di indirizzo approfondisce la gestione dei metadati per fornire indicazioni ai datori di lavoro pubblici e privati sul loro trattamento, anche a seguito dell’esito di alcuni accertamenti condotti presso alcune organizzazioni che si avvalevano, per la posta elettronica, di servizi in cloud.

Sai davvero gestire al meglio clienti e fornitori? Ecco le 10 regole da conoscere

In sintesi, il Garante sottolinea come il periodo di conservazione di tali metadati “non può essere superiore di norma a poche ore o ad alcuni giorni, in ogni caso non oltre sette giorni, estensibili, in presenza di comprovate e documentate esigenze che ne giustifichino il prolungamento, di ulteriori 48 ore”.

Il trattamento (conservazione) per un lasso di lasso di tempo superiore, prosegue l’Authority, configurerebbe un indiretto controllo a distanza dell’attività dei lavoratori, ancorché alla base vi fossero finalità di sicurezza informatica e di tutela dell’integrità del patrimonio, anche informativo, dell’organizzazione.

Ove per il datore di lavoro ricorresse tale esigenza, si rende necessario procedere secondo le previsioni dell’articolo 4 STL, ovvero mediante accordo con le OO.SS. o, in mancanza di tale accordo, mediante autorizzazione dell’Ispettorato nazionale del lavoro.

Una lunghezza del periodo di conservazione, ove superiore al massimo a sette giorni, andrebbe infatti oltre alla previsione di cui al comma 2 del predetto art. 4 (comma introdotto con D.lgs. 151/2015, componente del cd. Job Act), secondo cui non ricadono sotto le previsioni del controllo a distanza gli “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi e delle presenze”.

Il trattamento dei metadati necessita di una DPIA

Come fra l’altro affermato in occasione di una ordinanza di ingiunzione adottata dal Garante nei confronti di una Amministrazione regionale nel 2022 (doc. web n. 9833530), cui è stata comminata una sanzione di 100.000 euro, il nuovo documento di indirizzo evidenzia anche che il trattamento dei metadati necessita di una valutazione d’impatto.

Altri aspetti privacy interessanti del documento di indirizzo

Fra gli altri aspetti che è utile richiamare del documento di indirizzo vi sono quelli:

  1. della limitazione della conservazione, i cui tempi devono essere proporzionati alle finalità perseguite;
  2. dell’interazione con il fornitore del servizio, se acquisito in cloud o in modalità as a service, a cui andranno fornite le istruzioni del caso non mancando, da parte del titolare del trattamento, di accertarsi che siano adeguatamente impostati e gestiti i tempi di conservazione dei metadati. Tale questione rileva considerando che quantomeno per l’aspetto in esame, la durata della conservazione dei metadati, il fornitore potrebbe anche essere inquadrato come responsabile del trattamento (e qui rileva l’importanza della previsione di cui all’art. 28 lett. h del GDPR, sui controlli esperibili da parte del titolare che non devono essere solo scritti nel contratto ma anche applicati; ma verifiche andrebbero condotte anche se li si inquadrasse come titolari autonomi del trattamento);
  3. della previsione di una specifica informativa sul trattamento dei dati personali sulla materia, ai sensi sia del GDPR sia dell’art. 4 dello Statuto dei lavoratori, secondo cui le informazioni in esame sono utilizzabili nell’ambito del rapporto di lavoro se viene fornita “adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli”.

Le questioni prioritarie aperte per i titolari del trattamento

Il documento di indirizzo del Garante privacy, come detto, ha avviato anche riflessioni sugli aspetti tecnici per la relativa applicazione, fra cui rientrano tali aspetti:

  1. presenza e responsabilità dei diversi soggetti a seconda che programmi e gestione della posta elettronica siano in house o acquisiti esterni tramite “cloud o as a service”;
  2. esigenza di conservare i metadati relativi alle caselle cd. di struttura e non personali, a fronte di un applicativo unificato);
  3. eventualità che un provider esterno fornisca il servizio a più organizzazioni che abbiano però definito tempi diversi di conservazione (caso in cui dovrà intervenire, differenziandoli, sui parametri degli applicativi).

Vi sono alcune questioni da considerare, con priorità, per i titolari che, anche con l’apporto consulenziale del DPO, dovrebbero affrontare i seguenti aspetti ove ad oggi non già definiti:

  1. valutare, ai fini della conferma o revisione della conservazione in atto dei metadati, se il tempo di conservazione sia allo stato congruo rispetto alle esigenze di tutela perseguite; nel caso di revisione al ribasso, si dovrebbe provvede per i metadati che oltrepassino il nuovo termine;
  2. nel caso di trattamento dei metadati che siano già stati oggetto di accordo sindacale – almeno per gli accordi intervenuti ante-emanazione del GDPR – valutare l’eventuale esigenza di un nuovo accordo stante le modifiche al contesto del trattamento dei dati personali introdotti dal GDPR stesso. Del pari, per le autorizzazioni eventualmente rese dall’INL, sarebbero opportune indicazioni di carattere generale da parte di quest’ultimo circa il permanere della loro validità (almeno per quelle ante-emanazione del GDPR);
  3. effettuare una DPIA, a prescindere dai tempi di conservazione dei metadati, siano essi inferiori o superiore ai sette giorni (quindi presumibilmente per le raccolte dei metadati avviate prima dell’emanazione del GDPR, tale valutazione andrebbe ora fatta non essendo prima prevista nei termini del GDPR);
  4. provvedere a rendere specifiche informazioni ai sensi del STL e del GDPR, non mancando di specificare che per quei messaggi di posta elettronica individuale che, per il loro contenuto, siano da recepire nel sistema documentale ufficiale dell’organizzazione, i relativi metadati standard, inclusi nel documento, verrebbero tenuti sino allo spirare dei termini previsti nel piano di conservazione documentale;
  5. prevedere uno specifico trattamento per i metadati, da inserire nel registro, o individuarne uno esistente nel cui alveo possa ricadere la gestione dei metadati;
  6. provvedere nel dare specifiche istruzioni ai fornitori esterni circa il periodo di conservazione da osservare e le modalità di accertamento da seguire;
  7. definire istruzioni circa la chiusura della casella di posta elettronica individuale al termine del rapporto di lavoro, che dovrebbe avvenire in tempi coerenti tale cessazione, in particolare con riguardo a: i) cernita ed acquisizione nel sistema di gestione documentale dei messaggi ritenuti necessari per i processi di lavoro (attività che andrebbe svolta dall’interessato d’intesa con il referente organizzativo e ii) eventuale mantenimento attivo della casella per un limitato periodo di tempo e previa intesa con l’interessato, svuotata dei relativi contenuti con il suo coinvolgimento, ove possibile al solo fine di inviare alle controparti messaggi di risposta automatica che indichino una diversa casella dell’organizzazione cui inviare comunicazioni di lavoro, senza acquisire messaggi in entrata (su violazioni afferenti a tale aspetto cfr, fra gli altri, gli interventi del Garante docweb 9909235 e docweb 9809466).

Metadati e caselle di posta elettronica dei dipendenti nel settore pubblico

La questione in esame merita due ulteriori riflessioni. La prima con riguardo al settore pubblico, dove il DPR 62/2013 (Codice di comportamento dei dipendenti pubblici) con il nuovo art. 11-bis su “Utilizzo delle tecnologie informatiche” fornisce dal luglio 2023 specifiche istruzioni anche sull’utilizzo delle caselle di posta elettronica.

In particolare, il Codice precisa che:

  1. gli account istituzionali possono essere utilizzati solo per le incombenze lavorative e senza compromettere la sicurezza o la reputazione dell’amministrazione;
  2. il dipendente è responsabile del contenuto dei messaggi inviati;
  3. il divieto di inviare messaggi di posta elettronica che siano oltraggiosi, discriminatori o che possano essere in qualunque modo fonte di responsabilità dell’amministrazione.

Dunque, definire un tempo di conservazione congruo rappresenterebbe anche una delle misure per la verifica del rispetto di tali previsioni. E le OO.SS. dovrebbero interessarsi circa la definizione di tale congruità.

L’utilizzabilità dei dati raccolti in maniera non conforme

L’altra questione attiene all’utilizzabilità di dati sull’attività di lavoro che siano raccolti dal datore di lavoro senza seguire l’iter dell’art. 4 dello Statuto dei lavoratori.

Nell’ambito del diritto del lavoro è consolidata la non utilizzabilità delle predette informazioni, quindi anche dei metadati, in assenza di accordo sindacale o autorizzazione dell’INL.

Diversa è la questione in ambito penale, dove tale inutilizzabilità viene meno.

In argomento, l’art. 160-bis del Codice privacy specifica che l’utilizzabilità nel procedimento giudiziario di atti, documenti e provvedimenti non compliant alle norma sul trattamento dei dati personali sono disciplinate dalle attinenti norme processuali.

Ciò trova concreto riscontro anche nella recente sentenza n. 1999/2024 della sezione penale della Corte di Cassazione, incentrata sulla rilevazione degli orari di entrata e uscita in periodo precedente alla modifica dell’art. 4 dello Statuto dei lavoratori, le garanzie per i lavoratori poste dallo stesso art. 4 valgono nell’ambito dei “rapporti di diritto privato fra datore di lavoro e lavoratori, ma non possono avere rilievo nell’attività di accertamento e repressione di fatti costituenti reato”. Quindi, per il datore di lavoro saremmo di fronte al mancato rispetto dello Statuto dei lavoratori e del GDPR.

Ma le sue ragioni eventualmente potrebbero trovare accoglimento in ambito penale se tramite i dati raccolti potrebbe essere confermata la commissione di un reato che potrebbe, a sua volta, consentire di dar luogo a un provvedimento di licenziamento della persona coinvolta.

Per altro verso, se la gestione della posta elettronica si spinge anche al backup e conservazione, con possibilità/finalità di lettura da parte del datore di lavoro, delle email di caselle individuali, di dipendenti o anche di ex-dipendenti, si configurerebbe una, almeno potenziale:

  1. lesione della privacy anche degli interlocutori della corrispondenza elettronica, potendo tali comunicazioni contenere informazioni personali;
  2. fattispecie penalmente perseguibile, a istanza di parte, dell’art. 616 del codice penale che configura come reato fra l’altro il prendere “cognizione del contenuto di una corrispondenza chiusa, a lui non diretta” specificando che per corrispondenza va intesa quella “epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza”.

Conclusioni

La questione dei metadati ha diverse implicazioni che coinvolgono diversi attori e ambiti, non solo quello privacy. Se la finalità prioritaria del documento di indirizzo del Garante privacy è ovviamente quella afferente al trattamento dei dati personali, come abbiamo visto rilevano anche aspetti giuslavoristici e penali.

Da ciò l’esigenza di affrontare in maniera appropriata la materia e l’importanza del contributo che potrà dare il DPO ma anche l’attenzione che dovrebbero dedicarvi e lo spazio che dovrebbero rivendicare le OO.SS., in parallelo all’azione principale afferente alle relazioni industriali sul regime giuridico-economico del rapporto di lavoro, a tutela anche del diritto alla privacy dei lavoratori, pubblici e privati, che operano con competenza, impegno e partecipazione ogni giorno presso le diverse organizzazioni.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove presta servizio.

Trasforma i documenti digitali in alleati del business: ottieni più efficienza, sicurezza e conformi

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/metadati-e-caselle-di-posta-elettronica-dei-dipendenti-una-questione-non-solo-di-privacy/
如有侵权请联系:admin#unsafe.sh